[Part 2] Is c# safe? Readonly fields... Really readonly?

Hi

 Today I present you part 2 of "Is c# safe" series. 
Few days ago I though about whether possibility to set value to readonly field outside the constructor.

 Quoting the Microsoft website:
"The readonly keyword is a modifier that you can use on fields. When a field declaration includes a readonly modifier, assignments to the fields introduced by the declaration can only occur as part of the declaration or in a constructor in the same class.
Example
In this example, the value of the field year cannot be changed in the method ChangeYear, even though it is assigned a value in the class constructor..."

As last time, I wrote unit tests to see if it is possible. 
commit to my github

 Unfortunately Microsoft... Using reflection above sentence isn't true.

 I added new class named "InternalCallReadonlyVsConst" and it looks like below

namespace InternalClasses
{
  class InternalCallReadonlyVsConst
  {
    private readonly int privateReadonlyInt = 100;
    private readonly string privateReadonlyString = "100";

    private static readonly int privateStaticReadonlyInt = 100;
    private static readonly string privateStaticReadonlyString = "100";
  }
}

I wrote tests checking the possiblity to change value of readonly and static readonly fields.
Answer is yes, both of them you can change the value.
I was thinking about how to protect yourself, so I added const fields as below.
 
namespace InternalClasses
{
  class InternalCallReadonlyVsConst
  {
    private readonly int privateReadonlyInt = 100;
    private readonly string privateReadonlyString = "100";

    private static readonly int privateStaticReadonlyInt = 100;
    private static readonly string privateStaticReadonlyString = "100";

    private const int privateConstInt = 100;
    private const string privateConstString = "100";
  }
}

When I try change the value of const fields I got "FieldAccessException" as you can see in my code. 

    [TestMethod()]
    public void CreateInternalClassInstanceAndSetConstFields()
    {
      object InternalCallReadonlyVsConst = ReflectionHelper.CreateInstanceOfInternalClass(
                      "InternalClasses", "InternalClasses", "InternalCallReadonlyVsConst");
      Assert.IsNotNull(InternalCallReadonlyVsConst);

      object privateConstInt = ReflectionHelper.GetNonPublicIntFiledValue(InternalCallReadonlyVsConst, 
                                            "privateConstInt", InternalCallReadonlyVsConst.GetType());
      Assert.IsNotNull(privateConstInt);
      Assert.IsTrue(privateConstInt is Int32);
      Assert.AreEqual(privateConstInt, 100);

      Assert.ThrowsException< FieldAccessException>(()=> privateConstInt = 
                ReflectionHelper.GetAndSetValue(InternalCallReadonlyVsConst, 1234, "privateConstInt"));
      Assert.IsNotNull(privateConstInt);
      Assert.IsTrue(privateConstInt is Int32);
      Assert.AreEqual(privateConstInt, 100);


      object privateConstString = ReflectionHelper.GetNonPublicIntFiledValue(InternalCallReadonlyVsConst, 
                                            "privateConstString", InternalCallReadonlyVsConst.GetType());
      Assert.IsNotNull(privateConstString);
      Assert.IsTrue(privateConstString is string);
      Assert.AreEqual(privateConstString, "100");

      Assert.ThrowsException(() => privateConstString = 
             ReflectionHelper.GetAndSetValue(InternalCallReadonlyVsConst, "1234", "privateConstString"));
      Assert.IsNotNull(privateConstString);
      Assert.IsTrue(privateConstString is string);
      Assert.AreEqual(privateConstString, "100");
    }

You can draw the conclusion. If security of your application important to you use const fields when it is possible.

 In the next part I will show more examples of how to defend against reflection.

Komentarze

Prześlij komentarz

Popularne posty z tego bloga

AutoCodeCoverage - how it can help you find a bug

Obraz
Hi Last time I shown you what is AutoCodeCoverage. Today I would like to show you how it can help you. I'll show you how it can find small mistakes in you code. Let's start. Last time i shown my example solution which was covered in 100% by unit tests with AutoCodeCoverage.  There were 3 projects - SimpleClassLibrary, SimpleClassLibrary2 and UnitTestProject1. It looked like:  Now it looks like: I added more empty implementations of interface Inter1Lib2 and change logic of Class2. Old Class2 was looking like this: namespace SimpleClassLibrary { public class Class2 { public void HowIWasCreated(Class1 cl) { if (cl == null) { Console.WriteLine("null"); return; } if (cl.HowCreated() == EnumHowCreated.DefaultConstructor) { Console.WriteLine("Default"); } if (cl.HowCreated() == EnumHowCreated.ParameterConstructor) { Console.WriteLine("Paramet...
Czytaj więcej

Czarna lista produktów zawierających utwardzony tłuszcz roślinny. Aktualizacja 03.08.2013

Obraz
Cześć, Może nie każdy wie czym jest utwardzony tłuszcz roślinny. Otóż jest to wysoce przetworzony i niezdrowy tłuszcz, który powstaje z płynnych tłuszczy roślinnych. Na pierwszy rzut oka nie brzmi to źle... Okazuje się jednak, że podczas produkcji takich tłuszczy powstają bardzo niezdrowe tłuszcze trans. Są to bardzo zbite cząsteczki tłuszczu, które przyklejają się do ścianek naszych żył. Niby taka zmiana niewinna zmiana z płynnego tłuszczu do postaci stałej. Powodować one mogą miażdżyce, raka piersi, raka gruczołu krokowego, cukrzycę, niepłodność u kobiet, otyłość oraz problemy z wątrobą. Znajdują się one w większości margaryn, produktach fast food, frytkach, batonach, ciastek a nawet lodach. Poniżej przedstawiam listę produktów, zawierających tą bardzo niezdrową odmianę tłuszczu, będzie ona aktualizowana: Aktualizacja listy na dzień grudzien 2017 Aksam  -Orzeszki Beskidzkie Aksam - częściowo utwardzony olej palmowy Alpen Gold  -Mleczna czekolada k...
Czytaj więcej

Olej palmowy w produktach

Obraz
Cześć, Poprzedni post zawiera listę niezdrowych produktów zawierających utwardzony tłuszcz, natomiast naszło mnie przemyślenie, że producenci nie muszą podawać, że dany produkt zawiera utwardzony tłuszcz roślinny. Najczęściej spotykany może on być pod postacią oleju lub tłuszczu palmowego. Poniżej lista produktów jakie udało się odnaleźć z tymi składnikami. 3Bit Baton w czekoladzie mlecznej z nadzieniem mlecznym i herbatnikiem 46 g cukier, tłuszcz roślinny (palmowy), herbatnik 14% [mąka pszenna, cukier, olej palmowy, pełne mleko w proszku, sól, substancje spulchniające (węglany sodu, węglany amonu), emulgator (E 481)], odtłuszczone mleko w proszku (w nadzieniu 7%), serwatka w proszku (z mleka), tłuszcz kakaowy, miazga kakaowa, tłuszcz mleczny, emulgator (E 442, lecytyna sojowa, lecytyna słonecznikowa), aromaty, sól, Oprócz tłuszczu kakaowego zawiera tłuszcze roślinne 3Bit Baton w czekoladzie mlecznej z nadzieniem o smaku orzechowym i herbatnikiem 46 g cukier, tłuszcz ro...
Czytaj więcej